Информационная безопасность представляет собой состояние защищенности государства, а также интересов общества и личности в информационной сфере. При этом под защитой информации понимается целый комплекс действий, направленных на достижение такого состояния.

О мерах по обеспечению информационной безопасности принято говорить в контексте предотвращения главных угроз информационным ресурсам государства, общества и личности, в частности, в контексте противодействия несанкционированному получению и обработке информации, защиты технических каналов ее передачи.

Показатели безопасности

Выделяют три ключевых показателя безопасности информационной сферы: конфиденциальность, доступность и целостность. Детально рассмотрим каждый из них.

О конфиденциальности информации можно говорить в случае соблюдения условий ее недоступности для неуполномоченных лиц.

О доступности информации свидетельствует возможность ее получения по требованию уполномоченных лиц, а также недопустимость ее временного или постоянного сокрытия.

Под целостностью информации понимают ее неизменность в процессе хранения и передачи, то есть недопустимость какой-либо ее модификации.

Говоря о безопасности информации, подразумевают также:

— невозможность отказа от авторства, происхождения источника информации и опровержения авторства (англ. non-repudiation), а также возможность апеллировать к произошедшему событию, факту, месту действия;

— подотчетность информации (англ. accountability), то есть возможность идентификации субъекта, получающего доступ к информации, и его действий. Подотчетность зачастую является результатом доступности и конфиденциальности как критериев безопасности информационного источника;

— достоверность информации (англ. reliability) как показатель ее точности, полноты и надежности, отсутствие искажения информации либо ложных сведений;

— аутентичность информации (англ. authenticity) представляет собой один из показателей информационной безопасности, присущий информации после различного рода модификаций, то есть изменений ее первоначального состояния. Так, аутентичной информацию принято считать в случае ее соответствия изначальному ресурсу.

Проблема незащищенности информации становится все более актуальной с возникновением киберугроз. Так, отдельного внимания заслуживает политика конфиденциальности на просторах Интернета. Правительства стран Европейского Союза заняты созданием нормативно-правовых актов и инструкций, регулирующих использование так называемой персональной идентифицируемой информации (Personally Identifiable Information/PII) или чувствительной персональной информации (Sensitive Personal Information/SPI). Такая информация наиболее часто используется различного рода организациями под угрозой ответственности за ненадлежащее ее хранение и наступления плачевных последствий для деловой репутации предприятия. Так, Национальный институт стандартов и технологий США в одной из своих публикаций определяет персональную идентифицируемую информацию как «любую информацию об индивиде, доступную для той или иной организации и включающую в себя такие сведения, как имя, идентификационный номер, дату и место рождения, девичью фамилию матери, биометрические данные, а также сведения медицинского и финансового характера и данные о трудовой деятельности лица». Нарушения интернет-безопасности значительно облегчили процесс получения и распространения чувствительной информации, включая незаконную торговлю личными данными.

Право на забвение

Вопросу политики конфиденциальности был посвящен отдельный меморандум Бюджетного управления Конгресса США. Определение персональной идентифицируемой информации также содержится в Директиве 95/46/ЕС Европейского Союза, которая гласит, что информация такого рода содержит сведения о физической, психологической, психической, экономической, культурной или социальной идентичности личности. Директиву в скором времени может заменить представленный в 2012 году проект нового закона о защите персональных данных ЕС, гарантирующий лицу право за забвение (англ. right to be forgotten), который вызвал споры после дела Костеха 2014 года. Тогда Европейский суд по правам человека (Евросуд) рассматривал дело гражданина Испании Марио Костеха Гонсалеса против корпорации Google, обратившегося в Национальное агентство по защите данных с просьбой изъять из доступа электронную версию газеты, содержащей ссылку на статью 1998 года о продаже его дома в счет уплаты долга, который впоследствии был им погашен. Предполагалось, что размещенная информация носила компрометирующий Гонсалеса характер. Руководствуясь Директивой 95/46/ЕС и Хартией Европейского Союза по правам человека, Евросуд обязал Google изъять из общественного доступа любые ссылки на своем поддомене, указывающие на имя Костеха.

Право на забвение также зафиксировано во французской Хартии о праве на забвение, ознаменовавшей первую попытку правительства страны зафиксировать права личности в интернет-сфере в национальную систему права. Защита чувствительной информации в Сети также была имплементирована в ряд национальных норм Германии, Италии и Аргентины.

Следует отметить, что нормы, регулирующие защиту персональной информации, зачастую подвергаются критике ввиду противоречий свободе слова и печати, а также видимых предпосылок к ужесточению интернет-цензуры. Так, американское законодательство отмечает преимущество данных свобод над конфиденциальностью, отмечая, что при соответствии информации критериям аутентичности и достоверности ее публикация и хранение должны считаться абсолютно законными. Внимания заслуживает факт отсутствия в США централизованного законодательства в сфере защиты персональных данных. Тем не менее право на забвение и защиту личных данных отдельно закреплено в законе штата Калифорния и распространяется исключительно на информацию, опубликованную несовершеннолетними гражданами.

Следующий этап

 На Украине сфера информационной безопасности регулируется Законом «О защите персональных данных» от 1 июня 2010 года. Представитель Уполномоченного по вопросам защиты персональных данных осуществляет контроль над соблюдением норм законодательства о защите персональных данных, разрабатывает законопроекты, необходимые для предотвращения нарушений прав человека в сфере защиты персональных данных, а также консультирует профессиональные и общественные объединения по вопросам, связанным с защитой персональных данных, включая публикацию информации о владельцах персональных данных, осуществляющих их обработку. Как и на Украине, в странах ближнего зарубежья отсутствуют прецеденты в сфере информационной безопасности, однако нормы регулирования этой сферы закреплены на законодательном уровне. Так, защита персональных данных в РФ закреплена на федеральном уровне ратифицированной Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Государство также устанавливает требования к организациям по защите персональных данных в Федеральном законе «О персональных данных» и Федеральном законе «Об информации, информационных технологиях и о защите информации».

Можно предположить, что следующим этапом развития информационной безопасности станет сотрудничество государств на международном уровне и окончательное формирование международного информационного права как отрасли международной правовой системы.

 

НЕМЧИНОВА Кристина — юрист МЮГ AstapovLawyers, г. Киев